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PROCEDE DE CHIFFREMENT DE DONNEES. SVSTEME 
CRVPTOSRAPHIQUE ET COMPOSAWT ASSOCXES 

L 1 invention concerne un precede de chiffrement, et 
un systdme cryptographique associe, avec application 
notamment dans le domaine de la cryptographie a cle 
publique. L' invention peut etre mise en oeuvre dans des 
5 dispositifs electroniques tels que des cartes a puce. 

Un systSme cryptographique S. cle publique complet 
comprend general ement un algorithme de chiffrement et un 
algorithme de signature. Un tel systeme cryptographique 
peut §tre mis en oeuvre par exemple dans une carte a puce 
10 comprenant notamment, dans un circuit integre, des moyens 
de calcul programmes pour mettre en oeuvre les 
algorithmes, et des moyens de memorisation, pour 
memoriser des cles publiques et / ou des cles secretes 
necessaires a la mise en oeuvre des algorithmes. 
15 Un algorithme connu et utilise dans les systemes 

cryptographiques a cle publique est 1 1 algorithme RSA (de 
Rivest, Shamir et Adleman) . II peut etre utilise pour 
realiser des operations de chiffrement et des operations 
de signature. De maniere general, 1' algorithme RSA 
20 consiste a realiser une operation d 1 exponentiation, a 
l'aide d'une cle publique ou privee, d f un message clair 
formate par une fonction de chiffrement ou une fonction 
. de signature, selon le cas . 

Un procede de chiffrement utilisant I 1 algorithme 
25 RSA consiste ainsi a formater un message clair m par une 
fonction de chiffrement \x t puis a realiser une 
exponentiation du resultat selon la relation : 
c = f (\x(m)) = [|n(m)] e mod N 
ou [i est une fonction de chiffrement, (N, e) une cle 
30 publique, et f (x, N, e) la fonction d 1 exponentiation 
f (x, N, e) = x e mod N. 

Le message chiffre c peut ensuite etre dechiffre en 
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utilisant a nouveau 1' algorithms RSA, avec la fonction 
inverse f^x, N, d) , (N, d) etant une cle privee associee 
^ la cle publique (N, e) . 

Un procede de signature utilisant 1 ' algorithme RSA 
5 consiste maniere similaire a formater un message clair m 
par une fonction de signature n' , puis a realiser une 
exponentiation du resultat selon la relation : 
s = f^Cn'On)] = [n'(m)] d ' mod N 1 
ou \x> est une fonction de signature, (N«, d') une 
10 cle privee, et f - 1 (x, N\ d') la fonction d- exponentiation 
f _1 (x, N', d') = x d ' mod N' . 

La signature peut ensuite §tre verifiee en 
utilisant a nouveau 1' algorithme RSA, avec la fonction 
inverse f (x, N> , e'), (N' , e') etant une cle publique 
associee a la cle privee (N', d'). 

Les fonctions d' exponentiation et les fonctions de 
chiffrement ou de signature utilisees dans les systemes 
cryptographiques sont en general connues. La securite des 
systemes de cryptage depend done uniquement des cles 
privees et publiques utilisees, qu'il est indispensable 
de maintenir cachees . 

La securite depend ainsi notamment de la taille des 
cles, qui sont choisies de grande taille. Les nombres N, 
N> sont generalement de grande taille, par exemple 1024 
bits, ils sont egaux au produit de deux nombres premiers 
N = p*q, n« = p'*q». Les nombres d, d' entiers dependent 
des nombres N, N ' et sont egalement de grande taille. Les 
nombres e, e' entiers sont par contre souvent de petite 
taille. 

Pour des raisons de securite, les cles ( (N, e) ; 
(N, d) ) utilisees pour le chiffrement et les cles ( (n 1 , 

&,) ! (N '' d ')) utilisees pour la signature sont 
dif f erentes . 

Une fonction de signature est dite sure s ■ il 

n'est pas possible de crier une signature s d'un message 
sans connaitre la cle privee, mime si des signatures 
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sl, s2 de messages ml, m2 sont connues. Les fonctions \i< 
utilisees dans les systemes cryptographiques sont 
construites pour verifier cette condition. 

Une fonction u' connue et sure pour des operations 
de signature est la fonction PSS (Probabilistic Signature 
Scheme, en francais fonction probabiliste de signature), 
decrite notamment dans le document Dl (M. Bellare and P. 
Rogaway, The exact security of digital signatures- How to 
sign with RSA and Rabin, Proceedings of Eurocrypt » 96, 
LNCS vil 1070, Springer- Verlag, 1996, pp 399-416) et dans 
le standard PKCS#1 v2.1, RSA Cryptography Standard. 

La fonction PSS est parametree par des entiers k, 
k0, kl et utilise deux fonctions de hachage : 
H : {0, l} k - kl {o, l} kl 
15 G : {0, l} kl {0, l} k - kl 

A partir d'un texte clair m de k - ko - kl bits et 
d'un nombre r aleatoire de kO bits, la fonction PSS 
produit : 

PSS (m, r) = co | | s 
avec r un paramdtre aleatoire associe a la fonction 
PSS, || la fonction de concatenation, co = H(m || r) , 
s = G(eo) 0 (m | | r) , et © la fonction logigue XOR. 

La signature s du message m est ensuite obtenue par 
exponentiation a l'aide de la cle secrete (N, d) : 
25 s = f ( [PSS (m, r) ] , N, d) 

= [PSS(m, r)] d mod N 
Une signature s peut etre verifiee en calculant : 

fMs) = s e ' mod N = co || s 
oii f 1 est la fonction inverse de la fonction 
30 d * exponent iat ion f . 

Connaissant la taille de co et s (respectivement kl 
bits et k-kl bits), on deduit co et s de f- x (s) . On calcule 
ensuite G(co) e s a partir de co, s et G. Comme 
G(co) © s = M | | r, on en deduit finalement H (m | | r) et 
35 m . Enfin, on compare co et H (m | | r) . Si H(m | | r) = co, 
alors le texte clair m est renvoye, sinon seul un message 
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De maniere similaire, une fonction \x de chiffrement 
est dite sllre s f il n'est pas possible de distinguer deux 

5 messages chiffres cl, c2 obtenus a partir de la fonction 
fj, et de deux messages clairs ml, m2, meme si l f un des 
messages clairs associes ml ou m2 est connu. Les 
fonctions \x utilisees dans les systemes cryptographiques 
sont construites pour verifier cette condition de 

10 security . 



Cependant, parce que les criteres de securite ne 
sont pas les memes pour des operations de signature et 
des operations de chiffrement, les fonctions ji 1 de 
15 signature et les fonctions |j, de chiffrement ne sont pas 
les memes . 

En consequence, pour implementer un syst^me 
cryptographique complet, apte a chiffrer et dechiffrer, 
il est necessaire de disposer de moyens pour memoriser 

20 deux fonctions diff^rentes, plus generalement deux 
algorithmes differents, et de disposer de moyens de 
calcul programmes differents pour les mettre en ceuvre . La 
taille du circuit electronique resultant est bien 
evidemment proportionnelle a la taille des algorithmes a 

25 memoriser. 



Pour resoudre le probleme evoque ci-dessus, selon 
l 1 invention, on utilise une meme fonction de formatage, a 
la fois comme fonction de chiffrement et comme fonction 

30 de signature. Plus precisement, selon l 1 invention, pour 
mettre en oeuvre un procede de chiffrement, on utilise la 
fonction PSS, connue par ailleurs pour mettre ceuvre un 
procede de signature. 

Ainsi, 1' invention concerne un procede de 

35 chiffrement, comprenant une etape de formatage d'un 
message clair par une fonction de formatage, et une 6tape 

i 
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d 1 exponentiation du resultat de I 1 etape precedente a 
l'aide d'une cle publique selon la relation 
c » |a(m) e mod N, c etant un message chif f re, \x(m) etant le 
resultat de 1' etape de formatage, et e et N des elements 
5 de la cle publique. 

Selon 1* invention, la fonction de formatage est la 
fonction PSS. 

La fonction PSS est une fonction sure pour des 
operations de chif f rement . En effet, il on montre que la 

10 fonction PSS est sure pour des operations de chif f rement, 
dans le modele oracle aleatoire, tel que defini dans D2 : 
M. Bellare and P. Rogaway, Random oracles are practical : 
a paradigm for designing efficient protocols. Proceedings 
of the First Annual Conference on Computer Communication 

15 Security, ACM, 1993. Par ailleurs, actuellement dans le 
domaine de la cryptographie, la notion de securite dans 
le modele oracle aleatoire et la notion de securite la 
plus forte pour des applications reelles. 

Ainsi, selon l 1 invention, on dispose d'une fonction 

20 sure & la fois pour des operations de signature et de 
chif f rement . 

L 1 invention concerne egalement un systeme de 
cryptographie comprenant un procede de chiffrement et un 
precede de signature, tous deux utilisant la fonction PSS 
25 comme fonction de formatage. 

Plus pr£cisement, le systeme crypt ographi que 
comprend : 

- une etape de formatage d'un message clair par la 
fonction probabilistique de signature (PSS) , puis : 

30 - si un chiffrement du message clair est souhaite, 

une etape d ' exponentiation du resultat de l 1 etape de 
formatage a I 1 aide d'une premiere cle selon la relation 
c = p,(m) e mod N, c etant un message chiffrg, \x{m) etant le 
resultat de 1" etape de formatage, et e et N des elements 

35 de la premiere cle, ou 

- si une signature du message clair est souhaitee, 
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une etape d" exponentiation du resultat de l'etape de 
formatage a l'aide d'une deuxieme cie (N ' , d') selon la 
relation s = ji(m) d ' mod N 1 , s etant un message signe, ji(m) 
etant le resultat de l'etape de formatage, et d' et N' 
5 des Pigments de la deuxieme cle. 

Un tel systdme cryptographique est avantageux par 
rapport aux systemes cryptographiques connus, dans la 
mesure oti il n^cessite environ deux fois moins de moyens 
(en termes de moyens de calcul programmes et de place 
10 memoire notamment) pour etre mis en oeuvre. 

Selon un mode de realisation, la premiere cle et la 
deuxieme cie sont respectivement une cie publique d'une 
premiere paire de cies et une cie privee d'une deuxieme 
paire de cies. 

15 Selon un autre mode de realisation, prefSre, la 

premiere paire de cle et la deuxieme paire de cles sont 
identiques. En d'autres termes, le meme jeu de cles est 
utilise, a la fois pour mettre en oeuvre le procede de 
chiffrement et le procede de signature. On montre en 

20 effet que dechiffrer un message, chiffre selon un procede 
de chiffrement utilisant la fonction PSS et un jeu de 
cles donn<§, ne permet pas d'obtenir une information 
suffisante pour signer un message ( event uellement le 
message dechiffre) selon un procede de signature 

25 utilisant la fonction PSS et le mime jeu de cies. De 
manidre symetrique, on montre qu'obtenir une information 
sur la signature d'un message signe, selon un procede de 
signature utilisant la fonction PSS et un jeu de cies 
donne, ne permet pas d'obtenir une information sur un 

30 message clair chiffre selon un procede de chiffrement 
utilisant la meme "fonction PSS et le meme jeu de cies. 

L' invention est notamment applicable a l'algorithme 
de cryptographie RSA, qui est l'algorithme le plus 
utilise a ce jour dans le domaine de la cryptographie. 

35 L' invention concerne egalement un composant 

eiectronique comprenant des moyens programmes pour la 
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mise en ceuvre d'un procede de chiffrement tel que decrit 
ci-dessus, utilisant la fonction PSS comme fonction de 
formatage. Les moyens programmes comprennent notamment 
une unite centrale et une memoire de programme. 

L 1 invention concerne encore un composant 
electronique comprenant des moyens programmes pour la 
mise en oeuvre d'un systdme cryptographique tel que decrit 
ci-dessus, comprenant une operation de chiffrement ou une 
operation de signature, executees alternativement . Les 
moyens programmes comprennent notamment une unite 
centrale et une memoire de programme. 

L 1 invention est notamment interessante pour des 
applications de type carte a puce, dans lesquels les 
composants utilises doivent §tre de taille la plus petite 
possible, et la mise en oeuvre des procedes la plus rapide 
possible . 
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1. Procede de chiffrement, comprenant une €tape de 
formatage d'un message clair (m) par une fonction de 
formatage (u) , et une etape d* exponentiation du resultat 
de 1' etape precedente a l'aide d'une cle publique (N, e) 

5 selon la relation c = n(m) e mod N, c etant un message 
chiffre, u(m) etant le resultat de 1» etape de formatage, 
et e et N des elements de la cle publique, 

le procede etant caracterise en ce que la fonction 
de formatage (u) est la fonction PSS . 

■f 

10 

2. Procede selon la revendication 1, caracterise en 
ce que la fonction de formatage u est d^finie par 

H(m) = PSS(m) = co || s, avec : 
m, le texte clair de k - kO - kl bits, r un 
15 parametre aleatoire de k0 bits, k, k0, kl etant des 
parametres de la fonction de formatage, 

| | , une fonction de concatenation 
(0 = H(m || r) 
s = G (co) © (m | | r) , 
20 © une fonction logique XOR, et 

H, G deux fonctions de hachage 

3. Utilisation d'une fonction probabilistique de 
signature (PSS) definie selon le standard PKCS#1 v2.1, 

25 RSA Cryptography Standard comme fonction de formatage 
(H) , pour realiser un procede de chiffrement comprenant 
une <§tape de formatage d'un message clair (m) par la 
fonction de formatage (jj,) , et une etape d • exponentiation 
du resultat de 1 ' etape precedente a l'aide d'une cle 

30 publique (N, e) selon la relation c = u (m) e mod N, c etant 
un message chiffre, jx(m) etant le resultat de 1' etape de 
formatage, et e et N des elements de la cle publique. 
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4. Systeme cryptographique, comprenant : 
- une etape de formatage d'un message clair (m) par 
la fonction probabilistic^ de signature (PSS) , puis : 

si un chif fremerit du message clair (m) est 
5 souhaite, une etape d 1 exponentiation du resultat de 
1 1 etape de formatage a l'aide d'une premiere cle (N, e) 
selon la relation c = jn<m) e mod N, c St ant un message 
chif f re, p, (m) St ant le resultat de 1 1 etape de formatage, 
et e et N des elements de la premiere cle, ou 
10 - si une signature du message clair (m) est 

souhaitee, une etape d 1 exponentiation du resultat de 
I'Stape de formatage a l'aide d ! une deuxidme cle (N 1 , d') 
selon la relation s = pirn)* 1 mod N' , s etant un message 
signe, n(m) etant le resultat de l'etape de formatage, et 
15 d' et N 1 des elements de la deuxidme cle. 



5. Systeme selon la revendication 3, dans lequel la 
premiere cle et la deuxieme cle sont respect ivement une 
cle publique d'une premiere paire de clSs et une cle 

20 privee d'une deuxieme paire de cles . 

6. Systeme selon la revendication 4, dans lequel la 
premiere paire de cle et la deuxieme paire de cles sont 
identiques . 

25 

7. Systdme selon l'une des revendications 4 a 6, de 
type RSA. 



8 • Composant electronique comprenant des moyens 
30 programmes pour la mise en oeuvre d'un procede de 
chiffrement selon l'une des revendications 1 a 2, les 
moyens programmes comprenant notamment une unite centrale 
et une memo ire de programme . 

35 9 - Composant electronique comprenant des moyens 

programmes pour la mise en oeuvre d 1 un systeme 
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crypt ographi que selon l'une des revendications 4 & 7, les 
moyens programmes comprenant notamment une unite centrale 
et une memoire de programme. 

10. Carte a puce comprenant un composant 
electronique selon la revendication 7 ou la revendication 
8. 



